Autorizzazione al trasferimento di dati personali del territorio dello Stato verso Paesi non appartenenti all’Unione europea, effettuati in conformita’ alle clausole contrattuali tipo, di cui all’allegato alla decisione della Commissione europea del 5 febbraio 2010, n. 2010/87/UE. (10A07531)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof. Francesco
Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice
presidente, del dott. Mauro Paissan, componente, e del dott. Daniele
De Paoli, segretario generale;
Visto l’art. 25 della direttiva 95/46/CE del Parlamento europeo e
del Consiglio del 24 ottobre 1995, secondo il quale i dati personali
possono essere trasferiti in un Paese non appartenente all’Unione
europea qualora il Paese terzo garantisca un livello di protezione
considerato adeguato alla luce dei criteri indicati al paragrafo 2
del medesimo articolo;
Visto l’art. 26 della predetta direttiva il quale, prevedendo
alcune deroghe al menzionato principio, stabilisce che uno Stato
membro possa autorizzare un trasferimento o una categoria di
trasferimenti di dati personali verso un Paese terzo che non
garantisce un livello di protezione adeguato, qualora il titolare del
trattamento presenti garanzie sufficienti per la tutela della vita
privata e dei diritti e delle liberta’ fondamentali delle persone,
nonche’ per l’esercizio dei diritti connessi, risultanti anche da
clausole contrattuali appropriate;
Visto il paragrafo 4 del medesimo art. 26, relativo alle decisioni
della Commissione europea in materia di clausole contrattuali tipo;
Rilevato che la Commissione europea, con la decisione del 27
dicembre 2001, n. 2002/16/CE (pubblicata nella Gazzetta Ufficiale
delle Comunita’ europee L 6/52 del 10 gennaio 2002), ha individuato
alcune clausole contrattuali tipo, allegate alla medesima decisione,
che costituiscono garanzie sufficienti per la tutela della vita
privata e dei diritti e delle liberta’ fondamentali delle persone,
nonche’ per l’esercizio dei diritti connessi, in caso di
trasferimento di dati personali verso responsabili del trattamento
stabiliti in Paesi terzi che non assicurano un adeguato livello di
protezione;
Considerato che la Commissione europea con decisione del 5 febbraio
2010, n. 2010/87/UE (pubblicata nella Gazzetta Ufficiale delle
Comunita’ europee L 39/5 del 12 febbraio 2010), ha abrogato la
decisione della Commissione n. 2002/16/CE e ha individuato un nuovo
insieme di clausole contrattuali tipo, allegate alla medesima
decisione, che, secondo la Commissione, costituiscono anch’esse
garanzie sufficienti ai fini della tutela della riservatezza, dei
diritti e delle liberta’ fondamentali delle persone, nonche’ per
l’esercizio dei diritti connessi in caso di trasferimento di dati
personali verso Paesi terzi ai sensi della direttiva 95/46/CE
(considerando 7 e art. 1 della decisione n. 2010/87/UE);
Rilevato che la decisione della Commissione riguarda i
trasferimenti di dati effettuati a partire dal territorio dello Stato
da un titolare del trattamento avente sede nella Unione europea
(soggetto esportatore) ad un responsabile del medesimo trattamento
(soggetto importatore) stabilito in un Paese terzo che non assicura
un livello di protezione adeguato;
Rilevato, altresi’, che la medesima decisione contiene specifiche
clausole contrattuali tipo concernenti anche i successivi
trasferimenti di dati personali posti in essere da un responsabile
del trattamento (soggetto importatore), stabilito in un Paese terzo
che non assicura un livello di protezione adeguato, ad un altro
responsabile del trattamento, stabilito in un Paese terzo che non
assicura un livello di protezione adeguato (c.d. subincaricato),
sulla base di un apposito accordo (c.d. «subcontratto») stipulato tra
i predetti soggetti;
Tenuto conto che con il termine «subincaricato» deve intendersi il
responsabile del trattamento designato dall’importatore o da altro
suo subincaricato, che s’impegna a ricevere dall’importatore o da
altro suo subincaricato dati personali al solo fine di trattarli per
conto e secondo le istruzioni dell’esportatore, nonche’ in base alle
clausole contrattuali tipo allegate alla citata decisione e in virtu’
delle disposizioni contenute nel relativo subcontratto (art. 3,
lettera e) e clausola n. 1, lettera d) della decisione n.
2010/87/UE);
Considerato che la decisione della Commissione fissa le condizioni
affinche’ «i dati personali trasferiti continuino ad essere protetti
nonostante il trasferimento successivo al subincaricato» posto in
essere sulla base di un subcontratto, stabilendo, altresi’, che
quest’ultimo riguardi solo i trattamenti previsti nel contratto
contenente le menzionate clausole contrattuali tipo, concluso tra
l’esportatore e l’importatore, e non comporti trattamenti o finalita’
diversi, cosi’ da garantire il rispetto del principio di finalita’
sancito dalla direttiva 95/46/CE (cfr. considerando 17 e 18 della
decisione n. 2010/87/UE);
Visto che la decisione della Commissione, in particolare, prevede
che l’importatore si impegni, in caso di subcontratto, a informare
l’esportatore e a ottenere da quest’ultimo un previo consenso scritto
in mancanza del quale non potra’ subcontrattare i trattamenti
effettuati per conto dell’esportatore (clausola n. 5, lettera h) e
clausola n. 11, paragrafo 1 della decisione n. 2010/87/UE);
Considerato, inoltre, che ove l’importatore, con il consenso
dell’esportatore, affidi in subcontratto l’esecuzione degli obblighi
ai sensi delle citate clausole, e’ tenuto a stipulare con il
subincaricato un accordo scritto che imponga a quest’ultimo il
rispetto degli stessi obblighi cui lo stesso e’ vincolato in virtu’
della sottoscrizione delle clausole, e che tale prescrizione puo’
considerarsi soddisfatta anche qualora il subincaricato si limiti a
sottoscrivere il contratto concluso tra l’esportatore e l’importatore
(clausola n. 11, paragrafo 1 della decisione n. 2010/87/UE);
Rilevato, altresi’, che l’importatore si obbliga ad inviare
all’esportatore copia dei subcontratti conclusi e che quest’ultimo, a
sua volta, si impegna a tenere un elenco aggiornato di tali
subcontratti e a tenerlo a disposizione della relativa autorita’ di
controllo (clausola n. 5, lettera j) e clausola n. 11, paragrafo 4
della decisione n. 2010/87/UE);
Rilevato, inoltre, che la Commissione, anche alla luce di quanto
stabilito dal Gruppo di lavoro istituito dall’art. 29 della direttiva
95/46/CE (cfr. paragrafo 1.1 del Parere 3/2009, documento WP 161 del
5 marzo 2009), ha rimesso agli Stati membri la facolta’, con riguardo
ai casi in cui il responsabile del trattamento stabilito nell’Unione
europea, che tratta dati personali per conto di un titolare stabilito
nell’Unione europea, affidi il trattamento a un subincaricato
stabilito in un Paese terzo che non assicuri un livello di protezione
adeguato, di tenere conto del fatto che alla decisione di affidare il
trattamento al suddetto subincaricato «presiedono i principi e le
garanzie delle clausole contrattuali tipo di cui alla presente
decisione, nell’intento di garantire protezione adeguata ai diritti
degli interessati i cui dati personali sono trasferiti per il
trattamento» (considerando 23 della decisione n. 2010/87/UE);
Considerato che gli Stati membri europei devono adottare le misure
necessarie per conformarsi alla decisione della Commissione, ai sensi
del paragrafo 4, del citato art. 26 della direttiva;
Visto l’art. 44, comma 1, lettera b) del decreto legislativo 30
giugno 2003, n. 196 (Codice in materia di protezione dei dati
personali) secondo il quale il trasferimento dei dati personali
diretto verso Paesi non appartenenti all’Unione europea puo’ avvenire
quando e’ autorizzato dal Garante sulla base di adeguate garanzie per
i diritti dell’interessato individuate con le decisioni della
Commissione previste dagli articoli 25, paragrafo 6, e 26, paragrafo
4 della direttiva 95/46/CE;
Rilevato che questa Autorita’, con deliberazione n. 3 del 10 aprile
2002, ha autorizzato il trasferimento dei dati verso responsabili
stabiliti in Paesi terzi in conformita’ alle clausole contrattuali
tipo allegate alla decisione del 27 dicembre 2001, n. 2002/16/CE
abrogata dalla Commissione con la decisione n. 2010/87/UE;
Ritenuto che le clausole contrattuali tipo, contenute nell’allegato
alla decisione n. 2010/87/UE, su cui il 5 febbraio 2010 si e’
espressa la Commissione, prevedono anch’esse alcune garanzie per i
diritti dell’interessato che possono essere ritenute adeguate ai
sensi del citato art. 44, comma 1, lettera b);
Ritenuta la necessita’ di assicurare ulteriore pubblicita’ alle
clausole contrattuali tipo di cui alla decisione della Commissione n.
2010/87/UE, disponendo la loro pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana in allegato alla presente autorizzazione;
Ritenuta la necessita’ di formulare alcune prescrizioni inerenti
alle informazioni da fornire a questa Autorita’ in ragione ai compiti
ad essa affidati e richiamati dalla citata decisione della
Commissione, nei limiti necessari per la prima fase di applicazione
del presente provvedimento e nei termini di cui al seguente
dispositivo;
Ritenuto che l’Autorita’ si riserva la scelta di svolgere o meno,
caso per caso, il ruolo di mediazione previsto dalla clausola n. 7,
paragrafo 1, lettera a) della decisione n. 2010/87/UE;
Riservata la specificazione di ulteriori criteri e modalita’ in
base all’esperienza maturata nell’utilizzazione delle clausole, anche
in sede comunitaria;
Vista la documentazione d’ufficio;
Viste le osservazioni dell’Ufficio, formulate dal segretario
generale ai sensi dell’art. 15 del regolamento del Garante, n.
1/2000;
Relatore il prof. Francesco Pizzetti;
Tutto cio’ premesso
il Garante:
1) fatta salva l’applicazione delle ulteriori disposizioni
previste dal Codice in materia di protezione dei dati personali,
autorizza, con effetto dal 15 maggio 2010, i trasferimenti di dati
personali dal territorio dello Stato verso Paesi non appartenenti
all’Unione europea effettuati in conformita’ alle clausole
contrattuali tipo di cui all’allegato alla decisione della
Commissione europea del 5 febbraio 2010, n. 2010/87/UE e sulla base
dei presupposti indicati nella medesima decisione (art. 6 della
decisione della Commissione europea del 5 febbraio 2010, n.
2010/87/UE); cio’ anche con riguardo ai casi in cui il responsabile
del trattamento stabilito nell’Unione europea, che tratta dati
personali per conto di un titolare stabilito nell’Unione europea,
affidi il trattamento a un subincaricato stabilito in un Paese terzo
che non assicura un livello di protezione adeguato (considerando 23
della decisione della Commissione europea del 5 febbraio 2010, n.
2010/87/UE);
2) abroga, a decorrere dalla medesima data, la deliberazione del
Garante n. 3 del 10 aprile 2002 in materia di clausole contrattuali
tipo per il trasferimento di dati personali verso responsabili
stabiliti in Paesi terzi (art. 7, paragrafo 1, della decisione della
Commissione europea del 5 febbraio 2010, n. 2010/87/UE);
3) dispone che:
a) il contratto concluso, ai sensi della deliberazione del
Garante n. 3 del 10 aprile 2002, tra l’esportatore e l’importatore
prima del 15 maggio 2010, resti valido ed efficace purche’ rimangano
immutati i trasferimenti e il trattamento dei dati che ne
costituiscono l’oggetto e purche’ continui tra le parti il
trasferimento dei dati personali contemplati dalla presente
autorizzazione (art. 7, paragrafo 2, della decisione della
Commissione europea del 5 febbraio 2010, n. 2010/87/UE);
b) la copia del contratto relativo al trasferimento e le altre
informazioni necessarie debbano essere fornite al Garante solo su sua
richiesta (art. 157 del Codice e clausola n. 8, paragrafo 1 della
decisione della Commissione europea del 5 febbraio 2010, n.
2010/87/UE);
c) l’esportatore comunichi al Garante l’avvenuta designazione
in successione di piu’ di un subincaricato del trattamento a seguito
dell’adozione delle clausole contrattuali tipo di cui alla presente
autorizzazione (art. 157 del Codice);
d) l’esportatore informi il Garante in ordine alla scelta
effettuata dall’interessato, in caso di controversia non risolta in
via amichevole, di sottoporne l’esame ad un soggetto diverso dal
Garante o dall’autorita’ giudiziaria (clausola n. 7, paragrafo 1,
lettera a) della decisione della Commissione europea del 5 febbraio
2010, n. 2010/87/UE);
4) si riserva di svolgere i necessari controlli sulla liceita’ e
correttezza dei trasferimenti di dati e di adottare, eventualmente,
provvedimenti di blocco o di divieto di trasferimento in conformita’
al Codice in materia di protezione dei dati personali ed alla
normativa comunitaria (articoli 154, comma 1, lettere a) e d) e art.
4 della decisione della Commissione del 5 febbraio 2010, n.
2010/87/UE);
5) dispone la trasmissione del presente provvedimento e
dell’allegata decisione della Commissione all’Ufficio pubblicazione
leggi e decreti del Ministero della giustizia per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 27 maggio 2010
Il presidente e relatore: Pizzetti
Il segretario generale: De Paoli
